OFFICE 365、Azure、または Intune での ID 同期に UPN 照合を使用する方法

元の製品バージョン: Microsoft Entra ID、Cloud Services (Web ロール/Worker ロール)、Microsoft Intune
元の KB 番号: 3164442

概要

場合によっては、そのアカウントが Microsoft クラウド サービス管理ツールを使用して最初に作成された場合、ユーザー アカウントの権限のソースを転送しなければならない場合があります。 これらのツールには次のものが含まれます。

• Office 365 ポータル
• Windows PowerShell用のMicrosoft Azure Active Directory モジュール
• Azure 管理ポータル
• Intune ポータル

権限のソースを転送できるため、Microsoft Entra IDとの ID 同期を使用するときに、ローカル ディレクトリ サービスを介してアカウントを管理できます。

この記事では、 UPN 照合と呼ばれるプロセスを使用して転送を実行する方法について説明します。 このプロセスでは、ユーザー プリンシパル名 (UPN) を使用して、オンプレミスのユーザー アカウントをMicrosoft Entra IDの職場または学校アカウントと照合します。

UPN の一致の制限事項

UPN 照合プロセスには、次の技術的な制限があります。

• UPN マッチングは、SMTP マッチングが失敗した場合にのみ実行できます。 SMTP 照合の詳細については、「SMTP 照合を使用してオンプレミスのユーザー アカウントをディレクトリ同期用のユーザー アカウントにOffice 365する方法」を参照してください。 UPN 照合を機能させるには、オンプレミスのユーザー アカウントとMicrosoft Entra IDのユーザー アカウントの間にプライマリ SMTP アドレスの一致がないことを確認します。

• UPN 照合は、Office 365管理ツールを使用して最初に作成されたユーザー アカウントに対して 1 回だけ使用できます。 その後、職場または学校アカウントは、UPN ではなく不変 ID 値によってオンプレミス ユーザーにバインドされます。

• クラウド ユーザーの UPN は、UPN 照合プロセス中に更新できません。 UPN は、オンプレミス ユーザーをクラウド ユーザーにリンクするために使用される値であるためです。

• UPN は一意の値と見なされます。 同じ UPN を持つユーザーが 2 人いないことを確認します。 そうしないと、同期プロセスが失敗し、次の例のようなエラー メッセージが表示される場合があります。

  ローカル Active Directory 内のこのオブジェクトに関連付けられているユーザー プリンシパル名が既に別のオブジェクトに関連付けられているため、Microsoft Online Services でこのオブジェクトを更新できません。 このエラーを解決するには、ローカル Active Directory 内の関連オブジェクトを削除します。

UPN 照合を使用してオンプレミス ユーザーをクラウド ID に照合する方法

注:

Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となりました。 詳細については、 非推奨の更新プログラムに関するページを参照してください。 この日付以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正に限定されます。 非推奨のモジュールは、2025 年 3 月 30 日まで引き続き機能します。

Microsoft Entra ID (旧称 Azure AD) と対話するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、移行に関する FAQ を参照してください。 メモ： バージョン 1.0.x の MSOnline では、2024 年 6 月 30 日以降に中断が発生する可能性があります。

UPN 照合プロセスを開始するには、次の手順に従います。

1. 2016 年 3 月 30 日より前に Microsoft Entra ID への同期を開始した場合は、次の Azure AD PowerShell コマンドレットを実行して、organizationに対してのみ UPN ソフト マッチを有効にします。

   Set-MsolDirSyncFeature -Feature EnableSoftMatchOnUpn -Enable $True
   

   注:

   UPN ソフト マッチは、2016 年 3 月 30 日以降にMicrosoft Entra IDに同期を開始した組織に対して自動的に有効になります。

2. Microsoft Entra IDのユーザー アカウントから UPN を取得します。 これを行うには、次のいずれかの方法を使用します。

   • 方法 1: Office 365 ポータルを使用します。

     1. Office 365 ポータルにグローバル管理者としてサインインします。
     2. [ユーザー管理] ページに移動します。
     3. ユーザーを見つけて選択します。
     4. ユーザー名 (UPN) をメモします。

   • 方法 2: Azure portalを使用します。

     1. グローバル管理者としてAzure portalにサインインします。
     2. Active Directory 拡張機能を選択し、ディレクトリを選択します。
     3. [ユーザー管理] ページに移動します。
     4. ユーザーを見つけて選択します。
     5. ユーザー名 (UPN) に注意してください。

3. リモート サーバー管理ツール (RSAT) がインストールされているドメイン コントローラーまたはコンピューターで、Active Directory ユーザーとコンピューターを開きます。 Microsoft Entra IDのターゲット ユーザー アカウントと一致するユーザー名/UPN を使用して、ユーザー アカウントを作成するか、既存のユーザー アカウントを更新します。 詳細については、「Active Directory ユーザーとコンピューターでのユーザー アカウントの作成」を参照してください。

4. ディレクトリ同期を強制します。 詳細については、「 ディレクトリの同期を強制する」を参照してください。

詳細

UPN ソフト マッチの詳細については、「Connect Sync サービス機能Microsoft Entra」を参照してください。

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。